与许多其他勒索软件威胁行为者一样，fog采用双重勒索趋势：在加密组织文件之前窃取数据，然后威胁要在泄露网站上发布被盗数据，作为说服受害者支付赎金的杠杆。

初始访问 FOG勒索病毒已被观察到通过利用被盗的VPN凭证或有效用户凭证来实现初始入侵。

权限提升 在成功入侵网络后，FOG操作人员会对管理员账户执行“哈希传递”（pass-the-hash）攻击。此外，他们还通过暴力破解用户账户、使用自定义PowerShell脚本、提取浏览器和NT目录服务（NTDS.dit）中的密码等方式来提升权限。

持久性 为了保持持久性，该团伙在Windows服务器上建立远程桌面协议（RDP）连接。同时，FOG还会使用凭证填充攻击来劫持其他用户账户，甚至创建新的用户账户以确保持续驻留。他们还利用FileZilla和反向SSH Shell来确保系统内的持久存在。

信息收集 该团伙会在多个主机上部署Metasploit和PsExec。Kroll观察到他们还使用了Advanced Port Scanner、LOLBins、SharpShares和SoftPerfect Network Scanner来收集数据。

规避检测 在被攻陷的Windows服务器上，攻击者会禁用Windows Defender以及多个进程和服务，以避开检测后再部署勒索病毒。FOG还利用Windows API调用来收集系统信息并终止特定进程和服务。勒索病毒会加密各种文件，包括虚拟机磁盘（VMDK），并删除Veeam和Windows卷影副本的备份，随后在加密的文件上添加“.FOG”或“.FLOCKED”后缀。

勒索程序 在勒索病毒执行并加密文件后，会在受影响的目录中留下通常命名为“readme.txt”的勒索说明，提供解密支付指引。说明中包含一个Tor站点链接，用于谈判，并提供聊天界面以讨论赎金及提供被窃文件的证明。赎金要求各不相同，大型组织的赎金需求可能高达数十万美元。

数据泄露 在泄露数据时，FOG勒索团伙通常使用7-Zip、第三方云服务和WinRAR工具。